1. ASIL 개요
가. 정의 및 목적
ASIL은 ISO 26262에서 정의된 위험 등급 체계로, 차량 전자 시스템의 기능 안전 요구사항을 설정하기 위해 사용됩니다. 평가 요소는 고장 발생 시 예상되는 피해의 심각도(Severity), 노출 빈도(Exposure), 통제 가능성(Controllability)입니다.
나. 등급 분류 및 예시
ASIL은 ASIL A, B, C, D 4단계로 구분되며, 다음과 같이 적용됩니다.
| 등급 | 적용 예시 | 설명 |
|---|---|---|
| ASIL D | Airbig, ABS, power steering | 가장 높은 안전 무결성 요구 |
| ASIL C | Cruise Control, suspension | 높은 무결성 요구 |
| ASIL B | Head lights, brake lights , rear view camera | 중간 수준 무결성 요구 |
| ASIL A | Taillights | 낮은 무결성 요구 |
추가적으로 QM(Quality Management) 단계도 있습니다. QM라고 하는 것은 평가된 모든 위험 요소가 안전 관점에서 문제가 되지 않기 때문에 안전 보증 관리가 필요 없고 표준 품질 관리 절차만 준수하면 충분하다는 것입니다. 차량 내부에 Accent lighting, Navigator, Digital Radio 등이 이 QM 단계를 필요로 합니다.
2. ASIL 판단 기준: HARA
가. HARA 개요
ASIL 등급은 HARA(Hazard Analysis & Risk Assessment) 절차를 통해 결정되며, 시스템이 고장났을 때의 위험 요소를 세 가지 관점에서 평가합니다.
나. 세부 평가 항목
1) Severity(심각도)
심각도는 시스템 장애가 발생할 경우 운전자, 동승자, 인근 보행자 및 차량의 안전에 얼마나 심각한 위협이 될 수 있는지를 나타냅니다. 즉, 시스템 장애 발생 시 나타나는 차량 탑승자의 부상 정도를 나타냅니다.
- S0: 부상 없음
- S1: 경미하거나 중간 수준의 부상
- S2: 생명에는 지장이 없으나 심각한 부상
- S3: 생명을 위협하는 치명적인 부상
2) Exposure(발생 가능성)
발생 가능성, 즉, 빈도는 분석 중인 고장 모드와 일치할 경우 위험해질 수 있는 상황의 가능성을 나타냅니다. 다시 말해, 발생 가능성은 차량이 위험에 노출되는 빈도를 나타냅니다.
- E0: 거의 없음
- E1: 매우 낮음
- E2: 낮음
- E3: 중간 정도
- E4: 매우 높음
3) Controllability(통제 가능성)
통제 가능성은 시스템 장애가 발생한 경우 운전자 동승자, 차량 근처에 있는 사람 등이 시기 적절한 반응으로 위험을 피할 수 있는 능력을 나타냅니다.
- C0: 일반적으로 통제 가능
- C1: 간단하게 통제 가능
- C2: 보통 수준으로 통제 가능
- C3: 통제 어렵거나 불가능
다. 조합 방식
앞선 세부 평가 항목을 조합하여 ASIL 등급을 결정합니다. 예를 들어, S3 + E4 + C3의 조합은 가장 높은 위험 수준으로, ASIL D에 해당합니다.
한편, 다음과 같은 숫자 합산 방식으로도 참고할 수 있습니다.
- 합 6 이하: QM
- 7: ASIL A
- 8: ASIL B
- 9: ASIL C
- 10: ASIL D
| Severity | Exposure (Probability) | C1: Simply controllable | C2: Normally controllable | C3: Difficult to control or uncontrollable |
|---|---|---|---|---|
| S1 Light and moderate injuries | E1 (very low) | QM | QM | QM |
| E2 (low) | QM | QM | QM | |
| E3 (medium) | QM | QM | A | |
| E4 (high) | QM | A | B | |
| S2 Severe and life threatening injuries - survival probable | E1 (very low) | QM | QM | QM |
| E2 (low) | QM | QM | A | |
| E3 (medium) | QM | A | B | |
| E4 (high) | A | B | C | |
| S3 Severe and life threatening injuries - fatal injuries | E1 (very low) | QM | QM | A |
| E2 (low) | QM | A | B | |
| E3 (medium) | A | B | C | |
| E4 (high) | B | C | D |
3. ASIL 판단의 어려움과 해석 유연성
가. 변수 및 가정
ASIL 판단에는 많은 변수와 가정이 개입됩니다. 예를 들어, 통제가 불가능하고(C3), 생명을 위협하는 위험(S3)이라도, 노출 빈도(E1)가 매우 낮다면 ASIL A로 분류될 수 있습니다.
나. 해석의 모호함
ISO 26262에서 사용하는 표현은 정보 제공용이며, simply, normally controllable 등은 해석의 여지를 남깁니다. 따라서 ASIL 분류는 문맥 및 전문가의 해석에 따라 달라질 수 있으며, 이로 인해 실제 분류 작업이 어려워질 수 있습니다.
4. ASIL 적용의 효과
가. 기대 효과
ASIL 체계를 적용하면 다음과 같은 이점을 얻을 수 있습니다.
- 시스템 고장에 따른 위험을 허용 가능한 수준으로 완화하는 요구사항 수립
- 각 위험에 대한 요구사항 추적 및 관리 가능
- 개발된 제품이 국제적 안전 표준을 준수했는지 검증 가능
<참고 자료>
전재욱 교수님, SDV 이해하기(K-MOOC), 성균관대학교 반도체시스템공학과, '24.12.09.~'25.02.28.
